Mariano Nunez, CEO von Onapsis, zur verbindlichen operativen Richtlinie 22-01 der CISA

Anfang dieses Jahres erließ die Biden-Regierung eine Durchführungsverordnung zur Verbesserung der Cybersicherheit des Landes. Präsident Biden erkannte die anhaltende Bedrohung für die Sicherheit und Privatsphäre der amerikanischen Bevölkerung (und damit auch der Welt) durch immer raffiniertere böswillige Cyberkampagnen an. Damals merkte ich an, dass dies ein mutiger und dringend notwendiger Schritt zum Schutz geschäftskritischer Anwendungen sei, auf die wir uns alle verlassen. Ich wies auch darauf hin, dass dies erst der Anfang sei … und dass noch viel Arbeit vor uns liege. 

Springen wir zum 3. November… die Arbeit geht weiter.

An diesem Tag veröffentlichte die Biden-Regierung die verbindliche operative Richtlinie 22-01. Unter dem Titel „Reduzierung des erheblichen Risikos bekannter ausgenutzter Sicherheitslücken“ legt sie sowohl den offiziellen, von der CISA verwalteten Katalog bekannter ausgenutzter Sicherheitslücken fest, die ein kritisches Risiko darstellen, als auch die Anforderungen an die Behörden hinsichtlich der Behebung dieser Schwachstellen. 

Das ist eine große Sache. Und zwar nicht nur aus journalistischer Sicht, was es natürlich ist! 

Mit ihrem offiziellen Katalog und den verbindlichen Vorgaben zur Behebung von Sicherheitslücken hat die Biden-Regierung offiziell anerkannt, dass Schwachstellen in Software und Anwendungen ein enormes Risiko für die Integrität ihrer Informationssysteme und die Sicherheit der Vereinigten Staaten darstellen. Mit dieser Richtlinie schreibt die Biden-Regierung einen entschlossenen Ansatz und einen straffen Zeitplan vor, um bekannte, bereits ausgenutzte Schwachstellen zu beheben und letztlich die Systeme der Bundesbehörden zu schützen.

Angesichts der aktuellen Bedrohungslage ist ein entschlossenes Vorgehen mehr als willkommen. 

Ich könnte auf eine Vielzahl von Umfragen und Berichten aus der Privatwirtschaft verweisen, in denen die immensen Rückstände bei der Behebung ungeschlossener Sicherheitslücken in Unternehmen thematisiert werden. So stellte beispielsweise ein Bericht des Ponemon Institute vom Februar 2021 fest, dass zwei Drittel der befragten Unternehmen einen Rückstand bei der Behebung von Anwendungsschwachstellen haben, und 58 % der Befragten gaben zudem an, dass es Tage, Wochen oder Monate dauert, eine Anwendung in der Produktion nach der Entdeckung einer Sicherheitslücke abzusichern. Die Kombination dieser beiden Faktoren – also ein Rückstand und Verzögerungen bei der Behebung – bedeutet, dass Unternehmen vor einer Sisyphus- Aufgabe stehen, wenn es darum geht, ihre geschäftskritischen Anwendungen vor potenziellen offenen Angriffsvektoren und böswilligen Angreifern zu schützen.

Hier bei Onapsis sind wir seit unserer Gründung im Jahr 2009 Vorreiter beim Schutz geschäftskritischer Anwendungen wie SAP und Oracle. Warum dieser besondere Fokus? Weil diese Systeme weltweit in geschäftskritischen Bereichen eingesetzt werden – darunter Organisationen in systemrelevanten Branchen sowie Behörden und Verteidigungsbehörden. Laut SAP vertrauen weltweit mehr als 1000 Regierungs- und staatliche Organisationen sowie allein in den USA 170 Verteidigungs- und Sicherheitsorganisationen auf SAP-Software. Darüber hinaus gelten 64 % der Großkunden von SAP im Unternehmensbereich als Teil der „kritischen Infrastruktur“ im Sinne der Definition des US-Heimatschutzministeriums. 

Die Onapsis Research Labs befassen sich eingehender mit der Analyse von Schwachstellen in diesen kritischen Anwendungen, wo andere dies nicht können. Ihre threat research zur Entdeckung von über 800 Zero-Day-Schwachstellen geführt, die allein im Jahr 2020 40 % aller kritischen SAP-Hinweise ausmachten.  

Im April dieses Jahres veröffentlichten Onapsis und SAP (in enger Zusammenarbeit mit der CISA des US-Heimatschutzministeriums) gemeinsam einen threat intelligence , in dem die beobachteten Aktivitäten und Techniken von Angreifern detailliert beschrieben wurden, die zur vollständigen control ungesicherte, nicht gepatchte SAP-Anwendungen führen könnten. Besonders alarmierend war, dass viele dieser Software-Exploits bereits bekannt sind und es weitreichend verfügbare Abhilfemaßnahmen und/oder Patches gibt, um das Risiko zu mindern. Diese wurden jedoch schlichtweg nicht umgesetzt.

Im Juli knüpften SAP und Onapsis an unsere Sicherheitswarnung an und riefen zu einem erneuten Bekenntnis zu den grundlegenden Sicherheitsprinzipien auf – diesmal vor dem Hintergrund der anhaltenden Bedrohung durch Ransomware. Fast alle unsere Empfehlungen konzentrierten sich auf die Risikominderung durch eine kontinuierliche Bewertung von Schwachstellen in Ihrer gesamten SAP-Landschaft. Warum war das so? Weil Ransomware weiterhin Software-Schwachstellen als primären Angriffsvektor ausnutzt. 

Der derzeitige Status quo ist ein sprichwörtliches Rezept für eine Katastrophe. Es sind entschlossene und dringende Maßnahmen erforderlich, weshalb dieser Vorstandsbeschluss ein weiterer mutiger Schritt nach vorne ist.

Um SAP-Sicherheitsadministratoren, die direkt von diesem BOD betroffen sind, zu unterstützen, Onapsis Research Labs die Onapsis Research Labs eine Liste mit SAP-Sicherheitslücken aus dem CISA-Katalog sowie Anleitungen zur Behebung zusammengestellt. Diese Liste finden Sie hier.

An unsere Freunde und Kunden in der US-Bundesregierung: Wir werden uns im Rahmen unseres „Find and Fix“-Programms bei Ihnen melden, um zu erörtern, wie Onapsis Ihnen und Ihren Teams dabei helfen kann, die Anforderungen dieser verbindlichen Richtlinie zu erfüllen und Risiken in Ihren SAP-Systemen zu minimieren.  Für unsere Freunde und Kunden auf Ebene der Bundesstaaten und Kommunen oder diejenigen, die mit staatlichen Stellen zusammenarbeiten (z. B. durch die Bereitstellung von Informationssystemen), sollten wir ebenfalls ins Gespräch kommen, um zu sehen, wie das Onapsis-Programm „Find and Fix“ auch Ihnen helfen kann. Zwar gilt diese Richtlinie als verbindlich für alle Bundesbehörden und Exekutivorgane, doch ist es wichtig zu bedenken, dass sich das, was auf Bundesebene beginnt, traditionell auch auf staatliche und lokale Behörden sowie auf den privaten Sektor auswirkt – insbesondere auf diejenigen, die Systeme und Support für Bundesbehörden bereitstellen. 

In dieser neuen Ära miteinander vernetzter Risiken halte ich es für unerlässlich, dass wir alle an einem Strang ziehen, um diese Herausforderungen gemeinsam zu bewältigen. Dieser Vorstand fordert entschlossenes Handeln. Lasst uns gemeinsam die Initiative ergreifen und alles in unserer Macht Stehende tun, um unsere wichtigsten Systeme vor böswilligen Cyberangriffen zu schützen.